• Bookmark

Marco GEIT trabajando, Parte 2: Planifique la solución

Por Peter C. Tessin, CISA, CRISC, CISM, CGEIT

COBIT Focus | 11 de junio del 2018 English

Este artículo es el segundo de una serie de 6 partes que analiza la aplicación práctica de un marco de gobierno de TI empresarial (GEIT). Este artículo se centra en la planificación de la resolución del problema identificado en la parte 1. En la parte 1, el problema identificado fue una dependencia de los controles identificados y diseñados por la administración sin involucrar a nadie responsable de mirar la cartera de control desde la perspectiva de la empresa. Esta falta de control de la supervisión de la cartera introdujo el riesgo de que la empresa no cumpla con los requisitos regulatorios. Este artículo explica cómo diseñar una solución GEIT para abordar la falta de supervisión, que se denominará gobernabilidad; ¿Quién necesita trabajar en ello? y cómo serán sus productos de trabajo, o resultados.

En las palabras de las personas que realizan la implementación de la gobernanza, el problema subyacente descubierto por el equipo de auditoría interna (AI) es que hay una falta de supervisión adecuada. Esto sugiere que hay una comprensión insuficiente de las necesidades de las partes interesadas; ningún mapeo de esas necesidades a objetivos empresariales, relacionados con TI y habilitadores; y la falta de datos o métricas que prueben que el entorno de control interno está, de hecho, diseñado y operando de tal manera que garantice que se cumplirán los requisitos de la empresa.

Lo que se necesita ahora es un diseño formal y una estructura en torno al gobierno, de modo que los requisitos de los interesados se alineen con los objetivos empresariales y de TI. Cuando están correctamente alineados, las partes interesadas pueden estar seguros de que cubren todos los requisitos identificados (externos e internos) y que se puede identificar cualquier déficit de recursos. La creación de esta estructura formal proporcionará una visión completa del entorno de control interno que se está careciendo actualmente. Recuerde que en COBIT, las partes interesadas se refieren principalmente a aquellas que se encuentran internamente, como la junta directiva y el equipo de liderazgo ejecutivo.
 

Las barandillas para diseñar una estructura de gobierno y asignar recursos anticipan que debe crear y entregar valor a las partes interesadas al tiempo que garantiza el cumplimiento de todos los requisitos.


Los recursos son finitos, y siempre hay proyectos o prioridades en competencia. Eso significa que las partes interesadas deben definir cómo se asignan los recursos a las metas. Las barandillas para diseñar una estructura de gobierno y asignar recursos anticipan que debe crear y entregar valor a las partes interesadas al tiempo que garantiza el cumplimiento de todos los requisitos.


Diseñar una estructura GEIT

COBIT 5 se utiliza como marco para el diseño de la estructura de gobierno. COBIT 5 muestra cómo diseñar una estructura de gobierno y definir los roles que se necesitan para respaldarla. El proceso de diseño comienza con la comprensión de los requisitos de las partes interesadas. COBIT 5 tiene una muestra de requisitos de partes interesadas comunes, que se muestran en la figura 1.


Figura 1: Asignación de los objetivos empresariales de COBIT 5 a las preguntas de gobierno y gestión

View large graphic
View large graphic. Fuente: ISACA, COBIT 5, EE.UU. 2012. Reimpreso con permiso.


La primera tarea es determinar qué requisitos pertenecen a la empresa y cuáles priorizar. Para simplificar este proceso, el enfoque se coloca en una necesidad particular. Este problema en particular se rastreará a través del diseño de la estructura de gobierno.

Para comprender la búsqueda de una auditoría y la creación de tareas dentro de un esfuerzo de implementación de gobierno, es útil utilizar la figura 1, Asignación de los objetivos empresariales de COBIT 5 al gobierno y las preguntas de gestión, desde el marco de trabajo de COBIT 5. La falta de transparencia en las inversiones habilitadas por TI puede llevar a la observación de que hay una falta de supervisión. La tabla de objetivos a preguntas ayuda a determinar qué objetivos empresariales perseguir. En cuanto a la figura 1, hay una necesidad de las partes interesadas que parece encajar: "¿Son transparentes el esfuerzo total de TI y las inversiones?" En la tabla, esta necesidad se asigna al objetivo empresarial 5, "Transparencia financiera".

El objetivo de la empresa se asignará a un objetivo relacionado con la TI, y luego se definirán los recursos adecuados para apoyar el logro de ese objetivo. Los objetivos empresariales se asignan a los objetivos relacionados con TI en la figura 2, que se pueden encontrar en el marco COBIT 5. En esta figura, la transparencia financiera se asigna al objetivo 06 relacionado con TI, "Transparencia de los costos, beneficios y riesgos de TI".


Figura 2: Asignación de objetivos empresariales de COBIT 5 a objetivos relacionados con TI

View large graphic
View large graphic. Fuente: ISACA, COBIT 5, EE. UU. 2012. Reimpreso con permiso.


La asignación final que debe hacerse es determinar qué recursos apoyarán el objetivo relacionado con la TI. La Figura 3 proporciona un mapeo de los objetivos relacionados con TI a los procesos, que son el principal determinante de los recursos en la estructura GEIT.


Figura 3: Asignación de objetivos relacionados con TI de COBIT 5 a procesos

View large graphic
View large graphic. Fuente: ISACA, COBIT 5, EE. UU. 2012. Reimpreso con permiso.


En la figura 3, la meta 06 relacionada con TI está respaldada principalmente por 8 procesos diferentes en el modelo de referencia del proceso. El lugar para comenzar es con el proceso APO13 Gestionar la seguridad, ya que es donde la organización en este estudio de caso ha realizado una inversión significativa en el último año. APO13 se centra principalmente en el sistema de gestión de seguridad de la información (SGSI).


Definir los roles

El detalle del proceso APO13 se encuentra en COBIT 5: Procesos Catalizadores. Los procesos se desglosan en prácticas. Este es el nivel donde el trabajo se realiza realmente en la mayoría de los casos. Cada práctica indica qué recursos se necesitan (entradas), qué hacer (descripción y actividades) y qué se producirá (salidas).

La primera preocupación es comprender qué roles participarán en las prácticas de este proceso en la empresa. Cada proceso tiene un asociado responsable, accountable, consultado e informado y un cuadro (RACI) que indica quién es responsable, accountable, consultado e informado por la práctica. El enfoque principal en la determinación de roles estará en la rendición de cuentas y la responsabilidad.

La tabla RACI para el proceso APO013 muestra que el director de seguridad de la información (CISO) es el responsable en todas las prácticas. Tenga en cuenta que solo se puede asignar la rendición de cuentas a 1 rol. Esto garantiza una dirección y un desarrollo coherentes de las métricas de rendimiento, que serán muy importantes más adelante. Hay 2 roles que comparten la responsabilidad en cada una de las 3 prácticas en APO13, el director de información (CIO) y el gerente de seguridad de la información (gerente de IS).


Cómo se ven los productos finales

Defina los productos de trabajo planificados que producirá cada rol.

El proceso APO13 Gestionar seguridad tiene 3 prácticas relacionadas. Estos son:

  • APO13.01 Establecer y mantener un SGSI.
  • APO13.02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información.
  • APO13.03 Monitorear y revisar el SGSI.

Los productos de trabajo deben definirse para cada práctica para comprender los requisitos generales de recursos. COBIT 5: Procesos Catalizadores proporciona resultados comunes creados por estas prácticas (figura 4).


Figura 4 — Prácticas de gestión y resultados relacionados

Práctica

Resultados

APO13.01

Política SGSI, declaración de alcance SGSI

APO13.02

Plan de tratamiento de riesgos de seguridad de la información, casos de negocios de seguridad de la información.

APO13.03

Informes de auditoría del SGSI, recomendaciones para mejorar el SGSI.

Fuente: ISACA, COBIT 5: Procesos Catalizadores, EE. UU., 2012. Reimpreso con permiso.


Cada producto de trabajo debe describirse con más detalle para facilitar la identificación y creación de los productos de trabajo (figura 5). La descripción de los productos de trabajo creados en el modelo de referencia de proceso se puede consultar en el apéndice B.2 Productos de trabajo de salida de nivel 1, figura 19 en COBIT Modelo de evaluación de procesos (PAM): Usando COBIT 5. Los productos de trabajo APO13 se reproducen en la figura 5.


Figura 5 — Productos de trabajo de salida

Producto de trabajo

Descripción

Política de SGSI

Una política, norma o práctica operativa que formará parte del SGSI.

Declaración de alcance del SGSI

Parte de la estrategia de la SGSI y la documentación de planificación o el esquema del programa SGSI

Plan de tratamiento de riesgos de seguridad de la información.

Parte del proceso de evaluación de riesgos del SGSI basado en el perfil de riesgo

Casos de negocio de seguridad de la información.

Solo si es necesario para un proyecto o programa de seguridad de la información.

Informes de auditoría del SGSI

Parte de los informes de auditoría interna o informes mensuales de seguridad de la información, que también se integrarán en un sistema de informes y respuesta de incidentes de seguridad.

Recomendaciones para mejorar el SGSI.

Parte del monitoreo y reporte normal del SGSI. Los asesores buscan o piden esto.

Fuente: ISACA, COBIT Modelo de evaluación de procesos (PAM): Usando COBIT 5, EE. UU., 2013. Reimpreso con permiso.


Planificación de proyectos: la próxima vez

El siguiente artículo de esta serie tratará sobre la creación de un plan de proyecto con plantillas, según corresponda, y demostrará qué trabajo y tiempo se necesitará para resolver el problema.


Peter C. Tessin, CISA, CRISC, CISM, CGEIT

Es gerente senior de Discover Financial Services. Lidera el grupo de gobierno dentro del riesgo de tecnología empresarial (BT). En esta función, él es responsable de garantizar que la política, los estándares y los procedimientos se alineen con los objetivos corporativos. Se desempeña como parte interna responsable de la gestión de exámenes regulatorios y es el enlace interno con la gestión de riesgos corporativos. Antes de este cargo, Tessin fue gerente de investigación técnica en ISACA, donde fue gerente de proyectos para COBIT 5 y dirigió el desarrollo de otras publicaciones relacionadas con COBIT 5, informes y artículos. Tessin también tuvo un papel central en el diseño de COBIT Online, el sitio web de ISACA que ofrece un acceso conveniente a la familia de productos COBIT 5 e incluye herramientas digitales interactivas para ayudar en el uso de COBIT. Antes de unirse a ISACA, Tessin era gerente senior de una firma de auditoría interna, donde dirigía los compromisos con los clientes y era responsable de los equipos de auditoría financiera y de TI. Anteriormente, trabajó en varias funciones de la industria, como personal contable, desarrollador de aplicaciones, consultor y consultor de sistemas contables, analista de negocios, gerente de proyectos y auditor. Ha trabajado en muchos países fuera de su país natal, incluidos Australia, Canadá, Francia, Alemania, Italia, Jordania, México y el Reino Unido.